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Underlag för inriktningsbeslut avseende 
Microsoft 365 och andra molntjänster 


Sammanfattning 

Kommunstyrelsen har under 2020 och 2021 utrett ett eventuellt 
införande av Microsoft 365 och andra molntjänster. Utredningen 
har tvingats konstatera att ett införande av tjänsten för närvarande är 
problematiskt. 


Fokus i frågan har allt mer handlat om tredjelandsbaserade 
molntjänstleverantörernas möjligheter att lämna tillräckliga 
garantier för skyddet av personuppgifter. En dom i EU-domstolen i 
juni 2020, det s k Schrems II-målet, har skapat osäkerhet om vilka 
lagliga möjligheter staden har att använda tredjelandsbaserade 
molntjänster. Detta dokument syftar till att ge underlag för ett 
inriktningsbeslut gällande anskaffning och den fortsatta hanteringen 
av molntjänster. 


Behoven av att utveckla stadens digitala arbetsplats är stora. 
Pandemin innebar ett kompetenslyft för interna och externa 
användare, och nu behöver leveransen anpassas. 


För närvarande innebär ett införande av Microsoft 365 som digital 
arbetsplats svårigheter som inte vägs upp av nyttor i förhållande till 
dagens leverans. De viktigaste skälen för att tills vidare avstå från 
ett införande är att 


e Amerikanska molntjänstleverantörer kan på grund av 
gällande lagstiftning inom underrättelseområdet inte ge 
tillräckliga garantier för skydd av personuppgifter och 
bedöms därför inte kunna användas i nuläget. 

e Det går inte att kontrollera under vilka villkor tjänsten 
levereras. Staden saknar inflytande över villkoren och 
avtalet kan när som helst ändras. 

e Användning av tjänsterna kräver för mycket av användarna 
när det gäller informationssäkerhet. Det går inte enkelt att 
avgöra om ett mötesverktyg kan användas eller inte. 


Utredningen föreslår därför att den digitala arbetsplatsen för 
förvaltningar och bolag behålls i nuvarande form. Istället för att gå 
över till molnbaserade tjänster behöver staden komplettera 
leveransen av den digitala arbetsplatsen med de viktigaste 
funktionerna som användarna saknar och förstärka den 
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verksamhetsnära förvaltningsorganisationen av tjänsterna. 
Kompletterande funktioner/tjänster som läggs till ska antingen 
levereras av stadens nyckelleverantörer eller, i de fall det inte står i 
strid med ingångna avtal, via molntjänster utan koppling till 
tredjeland. De verksamheter som idag använder molntjänster som 
innebär tredjelandsöverföringar av personuppgifter uppmanas att 
säkerställa att man har en korrekt behandling av personuppgifter 
senast under nästkommande licensperiod. 


Bakgrund 

Inom Stockholms stad finns ett ökande intresse av att använda 
sammanhållna systemstöd för samarbete inom och utom staden. 
Intresset har ökat de senaste åren i takt med att tekniken utvecklats, 
lösningarna förfinats, förväntningar från medarbetare och 
omvärlden växt, och mognaden i verksamheterna ökat. 


Ett av kommunfullmäktiges inriktningsmål för 2020 och 2021 är att 
Stockholms stad ska vara en ekonomiskt hållbar och innovativ 
storstad för framtiden. Ett mål för verksamhetsområdet är att 
Stockholm använder skattemedlen effektivt till största nytta för 
stockholmarna. Utifrån detta skrev avdelningen för it och 
digitalisering in följande redan i verksamhetsplanen för 2020: 


”Ett för staden prioriterat område är att utreda förutsättningarna 
för ett breddinförande av Office305 i staden. I nuläget föreligger 
frågetecken kring såväl juridiska som tekniska risker samt en 
sammantagen behovsbild. Avdelningen ska under året utreda de 
olika delarna och sammanställa resultatet i ett beslutsunderlag. 
Parallellt förbereder avdelningen för en generell förvaltnings- 
etablering av stadsgemensamma molnplattformar, med initialt fokus 


” 


på Azure. 


Förändrade arbetssätt i samband med coronakrisen har ytterligare 
aktualiserat frågan. Tyvärr gick inte uppdraget att slutföra under 
2020 på grund av de oklarheter som uppstod efter den så kallade 
Schrems II-domen (EU-domstolens mål nr C311/18). Arbetet har 
därför fortsatt under 2021. 


Schrems II-målet handlar om överföring av personuppgifter från EU 
till tredjeland, och i synnerhet tolkningen och giltigheten av två 
olika beslut: dels beslutet om Privacy Shield, dels ett beslut om så 
kallade standardavtalsklausuler. Överföring av personuppgifter till 
USA kan baseras på Privacy Shield eller på standardavtalsklausuler 
som godkänts av EU. Domen innebär att den överföring som sker 
mot USA och som enbart baseras på Privacy Shield omedelbart 
måste upphöra. 


EU-domstolen säger i sin dom att EU-kommissionens beslut om så 
kallade standardavtalsklausuler för överföring av personuppgifter i 
tredjeland fortfarande är giltiga. Men EU-domstolen säger också att 
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det kan finnas situationer när dessa standardavtalsklausuler inte är 
tillräckliga. Exempel på detta är om lagstiftningen i tredjelandet 
tillåter myndigheter att få åtkomst till de registrerade personernas 
uppgifter. 


Stadsledningskontoret har i angränsande projekt utrett 
konsekvenserna av Schrems II-domen. Ett breddinförande av 
Microsoft 365 (tidigare Office 365) är beroende av att frågorna 
kring tredjelandsöverföringar löses, varför detta arbete har fått anstå 
1 avvaktan på dessa utredningar. 


Stadens nuvarande digitala arbetsplats 

Genom GSIT-avtalen har stadens medarbetare tillgång till en digital 
arbetsplats. Det finns två leveranser, en för stadens pedagogiska 
verksamheter och en för övriga förvaltningar och bolag. 


För de pedagogiska verksamheterna är det Fujitsu som är 
huvudleverantör. Avtalet med Fujitsu förvaltas av stadslednings- 
kontoret, men i avtalet anges att Microsoft 365 (tidigare Office 365) 
får användas. Efter ett beslut 2018 sker leveransen genom att 
utbildningsförvaltningen köper in Microsoft 365 via stadens 
licenspartner. Det nuvarande licensavtalet med Microsoft löper till 
oktober 2022. 


För stadens övriga förvaltningar och bolag är det Tietoevry som 
levererar tjänsterna. I denna del förekommer inte molntjänster i 
grundleveransen på samma sätt som för de pedagogiska 
verksamheterna. Leveransen sker on prem, det vill säga i it-miljöer 
som inte är fysiskt åtkomliga för andra kunder än staden. Licenser 
för de programvaror som används köps in separat. Det nuvarande 
licensavtalet med Microsoft går ut i december 2022. 


I den digitala arbetsplatsen ingår också samarbetsytor i Sharepoint. 
Dessa levereras för närvarande av Tietoevry inom ramen för GSIT- 
avtalet. Det finns också en Sharepoint-miljö som är kopplad till e- 
tjänsteplattformen inom SIKT-avtalet. En versionsuppgradering av 
båda dessa miljöer är inplanerad under 2022, vilket tillsammans 
med utökad funktionalitet (Modern Sharepoint) som kan läggas till 
efter uppradningen ökar verksamheternas möjligheter att själva ta 
fram skräddarsydda samarbetslösningar. 


Det pågår ett arbete med att komplettera den digitala arbetsplatsen i 
några viktiga avseenden. En tjänst för säkra digitala möten 
(Compodium Vidicue) håller på att införas. Även en tjänst för säkra 
meddelanden (Trusted Dialog) håller på att införas. 


Identifierade behov av utveckling 

Avdelningen för it och digitalisering har tidigare undersökt 
verksamhetens behov i projektet ”Utveckla möjligheterna till 
samverkan samt distansarbete och distansmöten” (dnr KS 2021/99). 
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Resultat från behovsinsamlingen visar att Skype for Business 
fungerar relativt bra när det gäller samtal med kollega eller i mindre 
interna möten. Resultatet visar samtidigt att Skype for Business inte 
möter verksamheternas behov när det gäller möten med externa 
aktörer, utbildningar och workshops samt vid större informations- 
möten. Avsaknad av funktionalitet, i nuvarande tjänst, som gäller 
möten som hanterar känsliga personuppgifter uttrycks också, man 
efterlyser verktyg och funktionalitet för säkra digitala möten. 


Behovsanalys visar att det finns en frustration från förvaltningar och 
bolag när det gäller att använda Skype i extern kommunikation eller 
för utbildning/workshop. I externa möten är det mer regel än 
undantag att i stället använda det verktyg som mottagaren har, i de 
flesta fall Teams eller Zoom. När det gäller utbildningar eller 
workshops som kräver dialog och interaktion så svarar inte Skype 
fullt ut upp mot verksamheternas behov. 


När verksamheterna beskriver vilka funktioner de önskar i ett 
digitalt samarbetsverktyg konstaterar projektet att många har arbetat 
i andra verktyg än Skype och lyfter fram de funktioner som finns i 
dessa program. För att nämna några; räcka upp handen, kunna se 
flera personer, kunna visa video med ljud, välja bakgrund, anpassa 
lobby/väntrum med flera. 


Bolagen lyfter fram att användandet av Skype inte motsvararar vad 
som förväntas av en kommersiell verksamhet. I några fall får de be 
mottagaren att sätta upp mötet i något annat verktyg. 


I behovsanalysen framkom även att det finns förvaltningar och 
bolag som har ett tydligt behov av att kunna genomföra säkra 
digitala möten. Det gäller vid möten där mottagaren måste kunna 
legitimera sig med e-identitet och där känsliga frågor diskuteras, till 
exempel gäller det socialförvaltningen och stadsdelsförvaltningarna. 
Men även andra frågor som upphandlings- och avtalsfrågor kräver 
säkra digitala möten. 


Avsaknaden av ett modernt och väl fungerande mötesverktyg 
innebär en ökad risk för att medarbetare ibland låter bli att följa de 
regler som staden har satt upp. 


Förhandssamråd om Azure AD och Teams 

Stockholms stad har utrett på vilket sätt leveransen från Tietoevry 
skulle kunna utökas till att även innehålla Teams med begränsad 
funktionalitet. Till skillnad från Skype for Business är Teams en 
tjänst som levereras i molnet. För autentisering av användare i 
Teams används Azure AD, så om stadens medarbetare ska kunna 
använda tjänsten krävs att uppgifter från stadens interna 
användarkatalog, Active Directory (AD), synkroniseras till Azure 
AD. 
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Det är möjligt att avgränsa Azure AD så att de uppgifter som finns 
där stannar inom Europa. Microsoft är emellertid ett företag som 
omfattas av en lag i USA som ger amerikanska myndigheter rätt att 
begära ut uppgifter oavsett var i världen de lagras. Om en sådan 
begäran skulle göras för personuppgifter i Azure AD skulle det 
innebära en tredjelandsöverföring. 


Staden har genomfört en konsekvensbedömning av de 
personuppgiftsbehandlingar som sker vid användning av Azure AD 
och Teams med begränsad funktionalitet. En rad åtgärder för att 
minska konsekvenserna av en eventuell tredjelandsöverföring 
identifierades. Antalet attribut som synkroniseras från AD till Azure 
AD begränsades maximalt, personer med skyddade personuppgifter 
undantogs och användarna ges möjlighet att avstå från tjänsten efter 
att de informerats om att en överföring av deras personuppgifter till 
USA kan ske om en amerikansk myndighet begär det. 


För att kunna bedöma om risken för tredjelandsöverföring av 
personuppgifter strider mot Dataskyddsförordningen har staden 
begärt ett förhandssamråd hos IMY. Ett yttrande från IMY kom den 
2 juni 2021. IMY säger i sitt yttrande att ”Eftersom den 
grundläggande analysen är bristfällig är rådet från IMY till 
Kommunstyrelsen att inte gå vidare med att införa tjänsterna Azure 
AD och Teams, utan att dessförinnan ha gjort ytterligare analyser. 
Det behövs fördjupade analyser av om personuppgiftsbiträdet har 
gett tillräckliga garantier om att vidta sådana lämpliga åtgärder 
som krävs för att säkerställa att behandlingen av personuppgifter 
uppfyller kraven i dataskyddsförordningen och att den registrerades 
rättigheter skyddas. Vid analyserna behöver Kommunstyrelsen 
särskilt beakta kraven i artiklarna 28 och 48 i dataskydds- 
förordningen. Kommunstyrelsen behöver vid analyserna också ta 
hänsyn till den fortsatta behandlingen av personuppgifter — det vill 
säga den behandling som sker vid användningen av tjänsterna efter 
att de har införts — och vilka konkreta risker för enskildas 
rättigheter och friheter som behandlingen i sin helhet leder till.” 


IMY konstaterar också att rättsläget inte är helt klart när det gäller 
frågan om vilka garantier och åtgärder från personuppgiftsbiträdet 
som skulle kunna vara tillräckliga i ett fall som det aktuella. 


Digital samarbetsplattform för offentlig sektor 

Skatteverket och Kronofogdemyndigheten beslutade i början av 
2021 att tillsammans med andra myndigheter tillsätta en 
tvärfunktionell arbetsgrupp för att utreda förutsättningarna för en 
lämplig och laglig samarbetsarbetsplattform för offentlig sektor. 
Arbetet startade i maj 2021 och arbetsgruppen antog namnet Digital 


Vv STOCK AOIMS 


Underlag för inriktningsbeslut avseende 
Microsoft 365 och andra molntjänster 


PM 
Sida 6 (10) 


samarbetsplattform för offentlig sektor. Stockholms stad har funnits 
representerad i referensgruppen. 


Arbetsgruppen drar slutsatsen att det finns lämpliga och lagliga 
alternativ för offentlig sektor. Efter överväganden och ställda mot 
kravspecifikationen, har de fångat en ögonblicksbild av marknaden 
och kunnat identifiera flera lösningar som i sig själv eller 
gemensamt, kan utgöra en digital samarbetsplattform för en 
organisation inom offentlig sektor. Det finns lämpliga och lagliga 
alternativ till amerikanska molntjänster. Några lösningar synes till 
och med prestera bättre och används redan idag av flera 
organisationer inom offentlig sektor, vissa sedan några år tillbaka 
medan andra har tagits i bruk under pandemin. Det är således fråga 
om beprövade lösningar. 


Arbetet visar tydligt att det både finns alternativ och att offentliga 
organisationer inte behöver röra sig i en rättslig gråzon för att 
tillgodose sina behov. Tvärtom menar arbetsgruppen att offentlig 
sektor bör föregå med gott exempel och ha säkerhetsmarginal för 
hur information behandlas inom den egna verksamheten, i 
synnerhet när det rör sig om så allvarliga frågor som att obehöriga 
kan få tillgång till skyddsvärd information och personuppgifter. 


En offentlig organisation ska slippa lägga tid och resurser på att 
skydda information från en leverantör och istället välja en 
leverantör där det inte finns farhågor om olovlig spridning och 
behandling av informationen. Att ständigt konstruera olika skydd 
eller specialfall för att en viss tjänst ska kunna användas, hämmar 
utrymmet för digitaliseringens fulla potential. Genom att redan från 
början utgå från fokus på laglighet, informationssäkerhet och digital 
suveränitet behöver offentlig sektor inte inaktivera funktioner eller 
införa begränsningar för hur en tjänst ska få användas. 


Offentlig sektor är i behov av lösningar nu och har samhällsviktiga 
uppdrag att lösa och kan inte längre vänta på att en lösning ska 
komma av sig själv. Offentliga aktörer behöver därför, enligt 
arbetsgruppen, själva ta initiativ och bana väg för medarbetare och 
uppdrag. De alternativ som så här långt har kunnat identifieras gör 
det möjligt för offentlig sektor att redan idag ta stora digitala kliv. 


Detta ställer krav på att it-branschen förändrar sitt synsätt, och i 
vissa fall även affärsmodellen. Lösningen på problemet är inte att 
offentlig sektor ensidigt anpassar sig efter de lösningar som finns. 
Förhoppningen är att de ställningstaganden offentlig sektor gör 
istället möts upp av it-branschen genom lösningar med inbyggt 
dataskydd, säkerhet, laglighet och ett helhetsperspektiv på hur 
myndigheters information och personuppgifter ska hanteras. Genom 
offentlig sektors investeringar i lämpliga och lagliga lösningar bör 
förutsättningarna vara goda för att också it-branschen ska anpassa 
sig efter offentlig sektors behov. 
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Avslutningsvis visar konsekvensanalysen som arbetsgruppen har 
tagit fram att det finns stora utmaningar inför ett fortsatt arbete. Det 
krävs både tid och resurser och även ett förändrat synsätt som tar 
höjd för behovet av ett helhetsperspektiv för hela offentlig sektor. 
Av det skälet är ambitionen i nästa steg att både peka på alternativ 
och att visa att alternativen fungerar både inom och mellan 
myndigheter. 


Analys 

Användning av molntjänster som kan innebära risk för 
tredjelandsöverföringar är en komplex och mångfasetterad fråga. 
Fokus har till stor del varit på hantering av personuppgifter, men 
egentligen handlar det om mycket mer än så. För att kanna komma 
fram till ett inriktningsbeslut har utredningen formulerat svar på 
nedanstående frågor. 


Är det att anse som en överföring till tredjeland om 
personuppgifter lämnas till en amerikansk leverantör? 
Amerikanska leverantörer som lyder under FISA 702 är skyldiga att 
lämna uppgifter om personer som till exempel utreds för terrorbrott 
till amerikanska underrättelsemyndigheter. Om personuppgifter som 
staden samlat in lämnas i klartext till en sådan leverantör kan de 
därför inte lämna tillräckliga garantier för att uppgifterna skyddas. 
Om personuppgifterna krypteras eller pseudonymiseras kan detta 
anses vara en tillräcklig skyddsåtgärd. Detta kan vara en rimlig 
åtgärd för avgränsade tjänster, men är inte hanterbart för en så 
komplex tjänst som Microsoft 365. Vad som är en tillräcklig åtgärd 
för att skydda personuppgifter måste bedömas i varje enskilt fall. 


Går det att göra en avvägning av risk för 
tredjelandsöverföring ställt mot andra risker? 

Aven om personuppgifterna inte förs över till tredjeland i första 
skedet kan en amerikansk leverantör ändå vara lagligt bunden att 
göra det om en myndighet begär det. Risken för att detta händer 
eller inte händer är svår att bedöma. Enligt Microsoft har det aldrig 
hänt att de lämnat ut några uppgifter från någon europeisk 
myndighet någonsin. Det finns inget objektivt sätt att kontrollera 
detta. Det går alltså att väga av risken för eventuella tredjelands- 
överföringar mot andra risker, men det är mycket svårt att veta hur 
stor den risken är. 


Vilka krav är rimliga att ställa på användarna när det gäller att 
använda tjänsten? 

Vid utvärdering av en tjänst kan den personuppgiftsansvarige 
komma fram till att den går att använda för situationer där inga 
känsliga personuppgifter förekommer men inte där känsliga eller 
extra skyddsvärda personuppgifter finns. I så fall behöver 
användarna utbildas så att de inte riskerar att hantera 
personuppgifter felaktigt genom att välja fel tjänst. Generellt sett är 
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det svårt att skapa en sådan förståelse hos samtliga anställda i en så 
stor organisation som staden. Utgångspunkten bör vara att det ska 
vara lätt för stadens anställda att göra rätt. 


Finns det samarbetsplattformar som alternativ till Microsoft 
365 som uppfyller kraven på följsamhet mot svensk och 
europeisk lagstiftning? 

Ja, den utredning som nyligen gjordes av digitala 
samarbetsplattformar för offentlig sektor visar tydligt att det finns 
alternativ till de stora amerikanska plattformarna. Att helt göra sig 
oberoende av Microsoftprodukter är emellertid en komplicerad 
operation som skulle kräva flytt till helt nya miljöer. Det skulle 
kräva en omfattande översyn och sannolikt behov av anpassning av 
hundratals verksamhetssystem som idag är beroende av produkter 
från Microsoft. Kortsiktigt är det därför inte rimligt att lämna det 
ekosystem som staden byggt upp under många år. 


Det talas om att leverantörer i Europa erbjuder molntjänster 
helt frikopplat från amerikanska leverantörer, kan vi inte 
använda det? 

De planer som offentliggjorts är dels ett franskt samarbete (Bleu) 
som innebär att man kommer kunna leverera Microsoft 365 som en 
molntjänst. Skillnaden mot nuvarande leverans är att den sker utan 
inblandning från någon amerikansk leverantör och helt och hållet 
inom Europa. På motsvarande sätt håller Deutsche Telekom på att 
förbereda en leverans av Google Workspace. Någon svensk 
leverantör har ännu inte tillkännagett att man erbjuder en liknande 
lösning. Då dessa erbjudanden ännu är i planeringsstadiet bedöms 
det för närvarande inte som rimligt att använda detta. På sikt är det 
däremot mycket intressant om marknaden utvecklas åt detta håll. 


Vilka krav kan vi ställa på en molntjänstleverantör? 

Normalt när staden upphandlar tjänster för digital arbetsplats så 
ingår de i ett större paket med tjänster inom t ex GSIT. Då förbinder 
sig leverantören att uppfylla de krav som staden har och det finns 
ofta klausuler om servicekrediter etc om inte kraven uppfylls. Så är 
det inte vid inköp av en molntjänst, där får kunden ensidigt 
acceptera villkoren för tjänsten på ungefär samma sätt som när man 
köper en licens för en programvara som installeras. Det gör 
molntjänster mindre lämpade för tjänster där kraven på 
tillgänglighet är höga och redundans inte kan skapas. 


Många av stadens samarbetspartners använder 
samarbetsplattformar från amerikanska leverantörer, kan vi få 
tillgång till dem? 

Förstahandsalternativet vid samarbete med andra organisationer bör 
vara att bjuda in våra samarbetspartners till stadens samarbetsytor. 
Om detta inte är möjligt kan man undersöka om det går att sätta upp 
någon form av federation mellan staden och den organisation i vars 


Vv STOCK AOIMS 


Underlag för inriktningsbeslut avseende 
Microsoft 365 och andra molntjänster 


PM 
Sida 9 (10) 


miljö man behöver delta. I sista hand kan pseudonymisering av 
konton vara en lösning, dvs att den e-postadress som används vid 
inloggning ersätts med en adress som inte går att koppla till en viss 
person i staden. Det innebär dock andra svårigheter, till exempel 
kan det bli svårt att identifiera deltagare i ett möte. 


Alternativa handlingsvägar 
Utredningen har övervägt följande alternativ: 


1. Staden kan införa Microsoft 365 trots den juridiska risken. 
Vägen framåt måste vara att staden använder tjänster som uppfyller 
kraven från gällande lagar. Ett införande där en leverantör inte kan 
lämna tillräckliga garantier för en korrekt hantering av person- 
uppgifter är inte rimligt. Det är möjligt att marknaden på sikt 
kommer kunna erbjuda tjänster som möter verksamheternas behov 
och som samtidigt lever upp till aktuell lagstiftning, men i dagsläget 
bedöms denna väg vara stängd. 


2. Staden kan avvakta ytterligare och istället jobba för 
nationella ställningstaganden gentemot SKR, DIGG med 
flera. 

Även om Schrems II-domen är tydlig så är det stor aktivitet i 
Sverige och inom EU för att tolka domen och se över möjligheten 
att vidta skyddsåtgärder eller andra åtgärder som förbättrar det 
rättsliga läget så att molntjänster som möter verksamheternas behov 
kan nyttjas. Sannolikt kommer det också att ske en teknikutveckling 
som kan öka möjligheten att identifiera verktyg och tjänster som 
stödjer stadens behov och som förhåller sig till aktuellt rättsläge. 
Det finns därför all anledning att fortsätta bevaka utvecklingen, men 
bedömningen är att det kommer dröja alltför lång tid innan en sådan 
förändring skulle leda till förbättringar av stadens tjänsteutbud. 


3. Staden kan fatta beslut att lämna Microsoft-världen och gå 
in i ett helt annat ekosystem. 

Att helt lämna den Microsoft-baserade it-miljö som staden byggt 
upp över många år bedöms varken vara realistiskt eller 
kostnadseffektivt. Även om inköp av programvaror blir billigare 
eller i vissa fall till och med kostnadsfria skulle detta alternativ 
innebära ett omfattande arbete vid införandet och risk för att 
kontinuiteten i tjänsterna inte kan upprätthållas. 


4. Staden kan besluta att ersätta eller komplettera de 
nuvarande tjänsterna med lagliga alternativ. 

Det finns effektiviseringsvinster att göra i verksamheterna om 
verktygen för samarbete skulle kunna bli fler och bättre. 
Utredningen om Digital samarbetsplattform för offentlig sektor 
visar att det finns alternativ till de stora amerikanska leverantörerna 
att tillgå. Även om detta alternativ innebär en merkostnad i 
förhållande till motsvarande molntjänster kan staden inte vänta 
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längre. Nu måste vi sätta fart på utvecklingen av den digitala 
arbetsplatsen igen. Detta kommer i sin tur kräva investeringar i nya 
tjänster och mer resurser till den verksamhetsnära och tekniska 
förvaltningen. För verksamhetskritiska tjänster (till exempel 
smartphones) där inga alternativ finns som fullt ut uppfyller kraven 
på personuppgiftshantering behöver staden intensifiera dialogen 
med leverantörerna för att hitta lösningar. 


Förslag till beslut 

Eftersom utvecklingstakten inom digitala samarbetstjänster är hög 
och det sannolikt kommer finnas nya erbjudanden på marknaden 
inom några år föreslås styrgruppen för informationssäkerhet fatta 
följande inriktningsbeslut: 


1. Staden behåller nuvarande on prem-leverans för 
förvaltningar och bolag tills vidare. Inga nya molntjänster 
som innebär tredjelandsöverföringar av personuppgifter i 
klartext till land utanför EU/EES eller till land som enligt 
EU-kommissionen inte uppnår adekvat skyddsnivå införs i 
den digitala arbetsplatsen. 

2. Avdelningen för it och digitalisering uppmanas att slutföra 
de införanden av kompletterande tjänster som påbörjats 
avseende säkra digitala möten och säkra meddelanden. 

3. Med utgångspunkt i identifierade behov bör de ekonomiska 
och organisatoriska förutsättningarna för införande av 
ytterligare kompletterande tjänster i den digitala 
arbetsplatsen för förvaltningar och bolag utredas. I de fall 
där ett införande är möjligt genomförs förändringen 
lämpligen genom ändringar i befintliga avtal med 
leverantörer. 

4. De personuppgiftsansvariga, framför allt inom de 
pedagogiska verksamheterna, som idag använder 
molntjänster och där det inte går att införa kompletterande 
skyddsåtgärder som innebär att personuppgiftsbiträdet kan 
ge tillräckliga garantier för en lagenlig personuppgifts- 
hantering rekommenderas att senast inför nästa licensperiod 
finna alternativ som uppfyller lagstadgade krav. 
Utbildningsförvaltningen uppmanas att ta fram en plan för 
åtgärder och redovisa den för styrgruppen för 
informationssäkerhet senast 2022-03-30. 

5. Även hanteringen av mobila enheter som t ex smartphones, 
användande av internet och sociala medier och deltagande i 
andra organisationers samarbetsplattformar behöver 
analyseras närmare med avseende på tredjelands- 
överföringar. Om problem identifieras ska införande av 
skyddsåtgärder eller byte till tjänster som uppfyller kraven 
genomföras så långt det är möjligt utan att verksamheternas 
förmåga att genomföra sina uppdrag försämras. 


